Детальный разбор Firewall и NAT в MikroTik
Рет қаралды 32,512
Күн бұрын
@ZeusMoscow 11 ай бұрын
Отличное видео, я поставил себе домой для организации различных потребностей, обход блокировок и так далее... Спасибо, очень помогло начинающему разобраться в базовых понятиях.
@mihailan8711 8 ай бұрын
Лучшее объяснения, что можно только встретить в инете.
@aib0lit 10 ай бұрын
Супер объяснение!!!! СПАСИБО.
@bushcraft.azerbaijan 5 ай бұрын
обяснил лучше чем Роман Козлов)))👍
@andreykalyadin5331 8 күн бұрын
Козлов больше ориентируется больше на настройку корпоративных сетей. А многое из сказанного в видео, имхо, для них не очень.
@НиколайПронин-щ7п 8 ай бұрын
Здравствуйте, отличный материал и подача тоже отличная, спасибо! Одно не раскрыто, Firewall с IPV6... если бы его настройки ещё бы дали, а не просто выключить, то было бы супер, так как например у меня провайдер даёт ipv6 и он нормально работает.
@SWS-LINK 7 ай бұрын
Норм. Просто совет - первым правилом открывайте себе явный вход на железку. Я ещё поднимаю l2tp ipsec на wan. Можно случайно заблочить себе доступ и придётся ехать в незапланированную командировку.
@Intell_iGent 2 ай бұрын
Благодарю автора за качественное видео! Но позволю сделать небольшое замечание: правильно говорить не СиСиаШ, а эСэСаШ. Всех благ!
@alexxEquinox 24 күн бұрын
Да, автор прекрасно шарит матчасть, но вот инглиш надо подтянуть как жить. Очень много слов коверкает, просто детские ошибки , уровень школьника начальных классов по произношению. Язык врага нужно знать!😊
@pa4h1337 9 ай бұрын
Спасибо тебе большое! Единственные нормальные видео по настройке на Юутбе!
@Garry_Son 2 ай бұрын
Краткость-сестра таланта.Это про вас.Жду новые видео в вашей озвучке
@Mjasnik21 2 ай бұрын
Автор, на удалённом роутере ранее у меня стояли стандартные правила для Винбокс -для локалки и адрес листа без инверсии (!) и reject, a accept. И всё работало. Изменил как вы порекомендовали, после чего стало невозможно прицепиться по Винбокс к своему удалённому роутеру, дай Бог, чтоб он работал до весны нормально, пока я не приеду к нему и не верну всё как было.
@Mjasnik21 2 ай бұрын
удалось вернуть все назад через romon другого микротика в удалённой сети
@qa337 2 ай бұрын
@@Mjasnik21))
@Shurka2709 Ай бұрын
У Mikrotik есть средство в виде Safe Mode, которое позволяет относительно безопасно настраивать Firewall удаленно. Вы включаете этот режим через соответствующую настройку в WinBox Далее, если вы некорректно выйдете из этого режима, то все созданные вами настройки будут отменены. Корректным выходом из режима является ручное его отключение через ту же настройку. Таким образом, если во время настройки фаервола у вас пропала связь из-за неверного правила или по какой-то другой причине, Микротик откатит обратно сделанные вами изменения и вы сможете снова подключиться к роутеру. В терминале этот режим включается комбинацией клавиш CTRL+X. Время ожидания, перед откатом изменений максимум 9 минут (время TCP timeout). Подробнее об этом режиме можно почитать в официальной документации.
@Mjasnik21 Ай бұрын
@@Shurka2709 Спасибо большое, за информацию.
@medovik96 11 ай бұрын
Продолжай в том же духе!!!
@СергейКолосков-щ1у Жыл бұрын
Первый раз настраиваю микротик. Хотел поинтересоваться, - А не лучше закрыть все из вне и потом открывать только, то что требуется? К примеру 80, 443 порты и прочее.
@СергейКолосков-щ1у Жыл бұрын
Досмотрел видео дальше и понял в чем я ошибся.
@andreykalyadin5331 8 күн бұрын
По первым двум разделам (NAT маскарад и защита от DNS усиления) - а если у вас 10 локальных сетей и 2 провайдера (основной и резервный)? Получается что нужно делать по 20 правил? Проще в Src.Adress ничего не указывать, а только указать Out Interface или Out Interface List. При этом 20 правил сворачиваются в 2 или даже одно. Ограничить доступ по адресам можно и без правила в файерволе: IP-Services поле Avaible from. Но для доступа из вне с любого места лучше поменять стандартный порт Winbox на какой-то неиспользуемый, предварительно разрешив его в файерволе. Пункт про проброс портов не полный без правила проброса при обращении по внешнему IP из локальной сети (Hairpin).
@ДеникБ-з4е Жыл бұрын
Отличный видос, продолжай!
@privaltv 11 ай бұрын
семен, плес
@mbartuli Жыл бұрын
Вот бы еще такой хороший объяснятор как вы поделился знаниями как правильно wifi2 на hAP3 и RouterOS 7 настраивать. Так же в этом разрезе было бы интересно как можно прикрутить к вышеуказанному роутеру древнюю cAP lite в режиме CAPsMAN, чтоб бесшовным был. Спасибо за просвещение!
@adamdark1200 11 ай бұрын
Интересно. Все доходчиво!
@jahongirnematov9117 5 ай бұрын
спасибо
@DavidCohen-ux8tz Жыл бұрын
Молодец ! Классно обьясняеш, не то что некоторые !
@privaltv 11 ай бұрын
семен, плес
@zh_sanek8658 9 ай бұрын
Автору: Спасибо нашел много полезного в этом видео, не смотря на то что уже давно работаю с микротиком. Читателям комментариев: Не вижу смысла использовать микротик если включать Fasttrack. Он меняет схему прохождения трафика после connection tracker сразу в output interface. получается многие правила не будут работать такие как маркировка трафика или QoS и др. подробнее смотрите схему прохождение трафика в router os.
@antoniomax3163 Ай бұрын
А можно подробный обзор базового фв?
@joavia8307 Ай бұрын
Спасибо за видео. Почему мой микротик недоступен через winbox по mac? (подключаю с компа кабелем напрямую к LAN бриджу) Хотя изначально был доступен по mac. Теперь только по IP. Ведь настройки firewall тут не могут ограничить, верно? Причем микротик видит мой комп по mac в соседях)
@haykpapyan8649 Жыл бұрын
Спасибо. Все очень понятно!
@privaltv 11 ай бұрын
семен, плес
@aakozlov85 4 ай бұрын
привет. спасибо за ролик! было познавательно. подскажи, у меня Router OS 7.16 и нет меню CapsMan как у тебя в видео. ты какой-то отдельный пакет доустанавливал?
@Sergi-US 4 ай бұрын
Спасибо БРО!
@romroma3219 Жыл бұрын
Красава, все круто обьясняешь, так держать. Очень редко встретитшь когда так разжовывают, спасибо большое
@immickful 8 ай бұрын
34:59 А почему Вы не указываете значения для In. Interface и Out. Interface?
@loskiq 8 ай бұрын
если указан dst address, можно не указывать in interface, так как все равно понятно куда попадает пакет перед NAT'тированием. да, конечно можно указать еще и in interface, но ничего не изменится, правило в любом случае будет отрабатывать корректно.
@sergey1018 Жыл бұрын
А чем хуже ограничение доступа к Winbox (и другим сервисам) из IP-Services? Там же есть параметр AvailableFrom, в который прописываются доверенные адреса.
@SWS-LINK 7 ай бұрын
Это одно и тоже. Но правильней в firewall прописывать всё, чтобы сразу видно было что- кому- куда.
@v6661977 Жыл бұрын
Спасибо за видео. Но в правилах проброса портов лучше Dst. Address не указывать, а указать in.Interface - в вашем случае ether1, т.к. айпишник от провайдера динамический и при смене его - правило работать не будет.
@SWS-LINK 7 ай бұрын
Для этого маскарад и используют😂
@v6661977 7 ай бұрын
Чем поможет маскарад - когда изменится айпишник от провайдера (если он динамический), который ты уже "забил" руками в Dst. Address? :)
@SWS-LINK 7 ай бұрын
@@v6661977 маскардинг как раз и применяется на динамических ип -).
@KlimenkoEY Ай бұрын
На 5 минуте. провайдер отбрасывает пакет - это верно. но он его отбрасывает не потому что source IP не соответствует тому который он выдал роутеру, а потому что этот source IP находится в диапазоне частных (серых) IP-адресов, предназначенных для локальных сетей и запрещённых к маршрутизации в интернет. Поэтому такие пакеты помечаются как invalid по причине source IP.
@loskiq Ай бұрын
есть много провайдеров, которые выдают своим клиентам серые ip-адреса из приватных сетей 10.0.0.0/16, 172.16.0.0/12, 192.168.0.0/16 и потом натят их в свои белые ip-адреса. в итоге ведь получается, что провайдер всё-таки может принимать от клиента его приватный (частный, серый) ip-адрес, далее натить его и роутить дальше. в данном случае провайдер создаёт l2-туннель до клиента, на котором со стороны провайдера прописан маршрут 10.10.0.12/32 (тот ip-адрес, который провайдер выдал клиенту). вот и получается, что все неверные source-ip, которые клиент будет слать провайдеру, будут отбрасываться провайдером.
@KlimenkoEY Ай бұрын
возможно, что таких организаций много, но я бы постеснялся их называть провайдерами. потом когда их спрашиваешь почему у меня автономная зона маршрутизируется частично или маршрутизация асинхронная то их должностные лица (НЕ специалисты), начинают лихорадочно гуглить аббревиатуру BGP.
@SERVICE_KARELIA 7 ай бұрын
12:50 to ports для чего?
@KlimenkoEY Ай бұрын
Насчёт masquarade и src-nat. Если вы получаете от провайдера не один внешний IP, а целую подсеть (2, 4, 8 адресов), то все эти адреса прописываются в IP - Addresss на интерфейсе микротика в сторону провайдера. и дальше с помощью src-nat вы можете конкретный компьютер/группу компьютеров из локальной сети отправить наружу с конкретным внешним IP-адресом из подсети провайдера, указав его в поле To Address. Кроме того самим вендором mikrotik в вики-микротик указывается что при наличии статики нужно использовать src-nat. имхо, автору виднее.
@loskiq Ай бұрын
1. masquerade нужен только в том случае, если ip-адрес, получаемый от провайдера динамический. то есть, меняется время от времени. masquerade также работает и со статикой, никакой разницы в работе интернета не будет. единственное, что может быть - процесс может нагружаться немного сильнее, потому что в случае masquerade mikrotik автоматически будет вычислять ip-адрес на интерфейсе, указанном в out. interface. 2. если же провайдер выдаёт клиенту подсеть, тогда конечно лучше использовать src-nat. и, как Вы верно подметили, появится возможность присваивать клиентам конкретный внешний ip-адрес из этой подсети. либо в поле to addresses можно указать сразу всю эту подсеть и тогда mikrotik будет натить серые адреса на внешние адреса случайным образом. ну, не совсем случайным, а по своему алгоритму.
@KlimenkoEY Ай бұрын
@@loskiq сможете на микротике решить такую задачу: провайдер выдаёт динамический IP v4 адрес на PPPoE. нужно настроить выход в интернет офиса через src-nat, не masquerade. ?
@SETVERSE 11 ай бұрын
А если нет пункта 20:43 Srс. Address List?
@loskiq 11 ай бұрын
значит этот пункт будет во вкладке Advanced. в новых версиях RouterOS разработчики изменили порядок
@SETVERSE 11 ай бұрын
@@loskiq спасибо!
@kutycr Жыл бұрын
отличное видео! просьба - сделайте еще видос как настроить микротик на двух провайдеров интернета (когда оба кабеля идут в роутер) и чтоб микротик мог между ними автоматически переключаться, в случае отключения одного из провайдеров.
@loskiq Жыл бұрын
спасибо! да, такое в планах тоже есть. обязательно сделаю!
@romroma3219 Жыл бұрын
Поддерживаю вопрос
@АндрейКантор-е9ь Жыл бұрын
@@loskiq Ну, тогда уж дополню: с балансировкой нагрузки при работе сразу от двух провов.)
@Американскийшпион-й9л 20 күн бұрын
Как блокировать ip адреса которые пытаются подключиться к микротику через ovnp, или как создать чёрный список ip адресов которые пытаются подключиться из вне???? Нужно сделать такое видео...
@desantovih 9 ай бұрын
круто и спс за труд но есть пара вопросов))) зачем в маскарадинге выбирать подсеть внутнеюю обычно и так все робэ))разве только что если не мавскардить а дст натить))разыне подсети0))2е - в сервисах есть колонка алловед адерс - если туда прописать оно тоже ИПы только те пускать будет? а то пишут что до одного места)))
@loskiq 9 ай бұрын
для безопасности лучше указывать внутреннюю сетку в правиле маскарада. приведу пример: есть сеть провайдера, в которой соседние абоненты могут напрямую общаться друг с другом, то есть по L2. если какой-то соседний абонент укажет IP-адрес (WAN) Вашего микротика в качестве шлюза по умолчанию, он сможет воспользоваться Вашим интернетом, потому что Ваше правило маскарада на микротике будет натить всё подряд, включая пакеты соседнего абонента.
@MGTOW_Element 11 ай бұрын
Лично я бы начал с запрета все, кроме. А потом уже открывал интернет в локалку.
@subz3bra936 7 ай бұрын
сисиаш))) жжошь) но в целом популярно объясняешь
@levapcamaro1364 9 ай бұрын
Если выполнена настройка CapsMan, то эти настройки уберегут от внешнего проникновения на точки микротик, расположенные после роутера? Или на них так же всю эту процедуру повторять? Спасибо.
@loskiq 9 ай бұрын
если CAPsMAN настроен внутри Вашей локальной сети на локальных интерфейсах, да, уберегут
@АнтонРощупкин-ц5х 5 ай бұрын
привет, можно показать как все это сделать на ipv6? + НАСТРОКА Firewall ДЛЯ НЕГО!!!!
@immickful 8 ай бұрын
В некоторых статьях по настройке Wireguard видел, что fasttrack connection в обязательном порядке надо отрубить, иначе будут проблемы с WG из-за этого. Подскажите, пожалуйста, так ли это и с чем именно это может быть связано?
@loskiq 8 ай бұрын
нет, к счастью это не так. на всех администрируемых мной mikrotik'ах, где настроен wireguard, включен fasttrack connection. никаких проблем не наблюдается. такая схема работает уже второй год.
@ProficusLets Жыл бұрын
Давай больше видосов про микрот. За 2 последних дня как подписался на тебя - смотрю прибавилось еще человек 100. Делай больше про микрот. У тебя отлично получается!
@privaltv 11 ай бұрын
семен, плес
@DeepHouse29 Жыл бұрын
Здравствуйте,подскажите пжлста,у меня mikrotik rbm11g и модем em160r-gl,все настроено как надо вроде,но при включении питания, lte автоматически не включается,приходится вручную заходить в винбокс,в lte и нажать выключить и опять включить и потом заработает,жить можно,но напрягает что не автоматом все делается...что может быть или где то надо что то включить в настройках???
@EmptyUser 10 ай бұрын
поищи информацию, как писать скрипты на микротике в автозагрузку. Это, вероятнее всего, решит твою проблему)
@joseapachi 6 ай бұрын
бро помоги плиз. dhcp client не выдает ip. постоянно стоит searching
@immickful 8 ай бұрын
Про таблицу Connections не очень понял. Разве пакеты не по установленным маршрутам всегда бегают? Т.е. пакет по идее всегда именно к таблице маршрутизации должен обращаться, разве нет?
@loskiq 8 ай бұрын
все верно, пакеты бегают, исходя из таблицы маршрутизации, а затем, когда установилось какое-либо подключение с каким-либо ip-адресом в интернете, добавляется запись в таблицу connections и устанавливается состояние этого соединения. эта таблица нужна для корректной работы NAT, но она никак не связана с таблицей маршрутизации.
@chaoslegion7051 5 ай бұрын
Почему многие для проброса используют netmap для проброса? Почему его нельзя использовать, если он работает
@IvaevR 7 ай бұрын
Есть офис. Инет по статическому ip. Настраиваю l2tp чтобы сотрудники могли подключиться из дома и работать. У меня в офисе 2 сети. Без интернета и с интернетом. Microtik по lan врублен в сеть без инета. Так как большинство программ на компах без интернета. Проблема в том что если на инет компе настроить в офисе, то он подключается. А если из дома, то не подключается, правила вроде верные. Где копать? А ещё есть ситуация, всё коннектится, но не пингуется и соответственно при подключении rdp не видит комп.
@malboroman4540 6 ай бұрын
Вероятно нет маршрута между сетями, находящимися по обе стороны L2TP
@IvaevR 6 ай бұрын
@@malboroman4540 всё решилось, после настройки маскарада))
@СтаниславАнтонов-г8й Жыл бұрын
при включении fasttrack у вас не будут работать qos
@loskiq Жыл бұрын
да, не будет, но большинство не парятся с настройкой qos, тем более, если это обычный домашний роутер
@neblogervovan 9 ай бұрын
Классно! Спасибо огромное! А как поступать с пробросом портов если у провайдера меняется IP?
@zh_sanek8658 9 ай бұрын
либо покупать у провайдера статический ip (я плачу Ростелекому +150р к тарифу не дорого) . или изучите ddns
@СергейКолосков-щ1у Жыл бұрын
По аксесс листам немного вводит в заблуждение второй диапазон реальных IP. Логично к примеру открыть диапазон из внутренней сети, но если подключаться будет кто-то из вне, то скорее всего он будет подключаться с какого-нибудь реального IP и тут диапазон не уместен, будут отдельные IP адреса, а уместен только если роутер будет соединен по туннелю с другой подсетью.
@0_AVG 7 ай бұрын
👏💯🥇🔥
@СергейГород_ко 5 ай бұрын
Як зробыты прокси на p2p microtik
@KlimenkoEY Ай бұрын
19 минута. тоесть всем клиентам которые сидят на провайдере в другом городе тоже можно на Ваш микротик? раз всю подсеть провайдера открыли. это точно про безопасность?)
@loskiq Ай бұрын
если клиент, который будет получать доступ на микротик, имеет динамический ip-адрес, тогда тут два варианта: либо указывать всю сетку провайдера этого клиента, либо создавать защищенный туннель, например, wireguard и разрешать доступ только из подсети, прописанной на туннеле wireguard. первый вариант более простой, потому что мы уже итак оградили свой микротик почти от всего интернета. то есть, от 99.9% всяких брутфорсов и левых пакетов мы себя оградили. и да, это компромиссный вариант, потому что у клиента нет внешнего статического ip-адреса. если же он есть, тогда просто разрешаем доступ именно с его ip. второй вариант более сложный, потому что каждый раз придётся подключать wireguard и только потом заходить на микротик. но в последнее время протоколы vpn работают нестабильно (могут блокироваться по стране с помощью ТСПУ), поэтому это рискованный вариант. но можно настроить сразу два варианта)
@krabik9785 7 ай бұрын
пробрасываю порт как на всех гайдах, захожу на 2ip чтоб проверить порт, а он закрыт, хотя в роутере пакеты проходят, у провайдера узнал что данные порты не заблочены, 100раз уже все потыкал, как то 1 раз сработало и потом обтъебнуло, внешний ip у меня статичен, в винде пробросил что tcp что udp
@chaoslegion7051 5 ай бұрын
Вначале проверь без ,dst и src
@krabik9785 5 ай бұрын
@@chaoslegion7051 уже все прокинулось, спасибо)
@МаксимЖуков-ш6н 9 ай бұрын
Создаем правила в RAW 53 порт, протоколы UDP и TCP, но почему ты проверяешь работоспособность через ping ? это же icmp, он будет работать что бы ты там не написал в принципе
@loskiq 9 ай бұрын
этим правилом я устанавливаю запрет пользоваться DNS-сервером микротика посторонним пользователям. а DNS работает только по двум протоколам: TCP и UDP.
@Pablo_WAG 17 күн бұрын
Автор конечно хорошо все рассказал и объяснил, но все эти настройки не работают на реальном офисе в 30+ человек. Нарушено главное правило Firewall - все что не разрешено - то запрещено. К этому всему нужно добавлять те правила, которые создаются по умолчанию Микротиком. Иначе - получаем как минимум открытый 53 порт. Постоянные блокировки порта оператором по признаку DNS Flood и т.п.
@ArtShpiller Ай бұрын
Правило в Raw було лишнім якби ти нормально налаштував фаєрвол, в цілому відео корисне для розуміння шо куда ходить, але я б не радив по ньому налаштовувати собі мікротік, і доречі після RAW йде нат а потім фаєрвол
@loskiq Ай бұрын
по сути сильной разницы нет где дропать пакеты. либо в filter, либо в raw. но raw дропает более эффективно, потому что да, Вы верно подметили, сначала пакет попадает в raw, а потом уже дальше. например, если Вы начнёте лить кучу запросов на порт, который дропаете в filter, Вы заметите нагрузку на ЦП гораздо больше, чем если бы дроп был в raw.
@ArtShpiller Ай бұрын
@loskiq стандартні правила фаєрвола які ви тут не зробили і так дропають всі вхідні підключення в тому числі і 53 порт, не бачу смислу окремо його дропати ще й в рав. В рав добре дропати всяких ддосерів чи тих хто попав в хоніпот. Я веду до того що бажаючих поспамити на закритий 53 порт не так багато щоб створювати окреме правило.
@MGTOW_Element 11 ай бұрын
18:55 не секюрно. От слова совсем. Пускать к настроке роутера из вне - плохая привычка. Как минимум, в тоннель ВПН. А вот к впн по белому списку.
@KlimenkoEY Ай бұрын
28 минута. Что? Какие широковещательные пакеты в IPv6. Вы о чём?
@loskiq Ай бұрын
да, в ipv6 нет такого понятия как бродкаст. микротик шлёт mndp-пакеты по ipv6 на адрес мультикаст ff02::1, что равнозначно бродкасту в ipv4, так как пакет всё равно прилетит на все устройства в l2-сегменте.
@KlimenkoEY Ай бұрын
22 минута. reject - tcp reset отнимает больше процессорных ресурсов чем проверять established и related пакеты
@loskiq Ай бұрын
Вы, видимо, не заметили, что во вкладке General я поставил галочку new. этим самым будут проверяться только пакеты с состоянием new, что отнимает гораздо меньше ресурсов по сравнению с established и related
@KlimenkoEY Ай бұрын
@@loskiq во времена DDOS когда с разных IP к вам устремляются по 6000 новых пакетов в секунду ваше new -- такой себе аргумент. Я к тому что проще и экономичнее использовать drop, а проблема зависшего соединения - это проблема хоста. Ну или сделайте известные адреса - reset, а прочие drop, если вам так комфортнее
@nikitaosotskiy8368 6 ай бұрын
Первые пять минут история о том как провайдер отбрасывает пакеты с src=192.168.88.253 потому что ожидает там какой-то другой ну прям супер бред))) Тут надо было рассказать про адреса для локальных сетей, и про то, что оборудование провайдера не может ответить на адрес которого нету в сети, отсюда и тайм-аут соединения при пинге. Ну и Нат маскарад нужен, чтобы в пакетах src подменять на свой внешний ip, который уже будет доступен. Вот и весь рассказ. Эх. Все и так схавали судя по коментам
@loskiq 5 ай бұрын
когда роутер абонента подключается к интернету, на сервере (брасе) провайдера создаётся виртуальный интерфейс и автоматически прописывается маршрут на этом виртуальном интерфейсе, обычно с 32-м префиксом (смотря какую сеть провайдер выделит абоненту). простым языком это означает, что ни на какой другой ip-адрес, с которого роутер абонента будет слать пакеты, сервер не ответит, потому что попросту не найдёт у себя маршрут на данном виртуальном интерфейсе. и дело тут не в том, что адреса 192.168.88.253 нет в сети. если на то пошло, эта сеть (192.168.88.0/24) может использоваться на сервере для других нужд, и в данной сети может быть какое-то оборудование с адресом 192.168.88.253. получается, что этот адрес в сети, но сервер провайдера всё равно ведь не ответит на данный адрес тому абоненту, который будет слать пакеты с него, потому что будет смотреть только в свою таблицу маршрутизации на том виртуальном интерфейсе, который создан между сервером и роутером абонента. Вам бы немного подучить маршрутизацию)
@nikitaosotskiy8368 5 ай бұрын
@@loskiq вы описали частный случай. Я очень хорошо понимаю как происходит маршрутизация, иначе бы не писал. Но спорить просто лень, пусть каждый останется при своём)
@andreyandrey6030 7 ай бұрын
Молодец! Хорошо объясняешь.. Пропадает талант преподавателя..
@SsergeySav Жыл бұрын
А где мой комментарий?
@loskiq Жыл бұрын
хм, не знаю. я ничего не удалял. что писали?
@SsergeySav Жыл бұрын
@@loskiq по поводу маршрутизации и ната. Если бы провайдер знал о сети клиентов то трафик мог ходить и рубиться трафик потому что серые адреса запрещены к маршрутизации на границе инета и провайдера. Либо трафик должен натиться или иметь реальные ip, либо будет прибит. Мне показалось было объснено немного не так как оно на самом деле работает
@SsergeySav Жыл бұрын
скорее всего youtube не пропустил. Хотя не понимаю из-за чего. Вроде ничего не было из-за чего можно было бы не пропустить сообщение
@loskiq Жыл бұрын
да, согласен. провайдер конечно может натить локальную сеть роутера. то есть, наш роутер будет просто маршрутизировать весь трафик из локальной сети провайдеру, а он его уже будет натить. но, думаю, вряд ли кто из провайдеров такое предоставляет. либо да, как Вы написали, локальная сеть может состоять из реальных ip-адресов и тогда ничего натить не нужно.
@privaltv 11 ай бұрын
кек, час рассказывать как поднять правило маскарада, и еше полторы правил домохозяйских. Не упомянув и 10% повседневных задач. Го в след раз видос на 12 часов, глядишь там и про маркировку упомянешь, правда, вскользь. Видос от хомяка для хомяков
@MGTOW_Element 11 ай бұрын
А кто смотрит видео, при настройке Микротика?😂 Быстрее и эффективнее из статьи взять информацию. По тексту быстрее найдешь, что у тебя уже готово, а что надо исправить. Видео может быть полезным в случае, если хочешь узнать как другие настраивают.
@privaltv 11 ай бұрын
@@MGTOW_Element Автор (loskiq), алло, у тебя видео претендующее не на настройку быструю чего-либо, а о ДЕТАЛЬНОМ РАЗБОРЕ FIREWALL, а по факту ты однуо попсовую фичу ничего не дающую мусолишь час, не смеши и не оправдывайся. Ох у ж полезное узнал, о существовании маскарада и ната как технологии. ору
@MGTOW_Element 11 ай бұрын
@@privaltv так зритель тоже должен думать. Видишь, что автор "плывет" в теме - смотри другого. Я лично так делаю. Даже если в обучающем видео рекламы написано, смотреть этого автора больше не стану. И кто сказал, что я автор видео?🤔 Я настроил свои роутеры по статьям. По видео это сделать невозможно.
@privaltv 11 ай бұрын
@@MGTOW_Element > Видишь, что автор "плывет" в теме - смотри другого. Так и делаю, еще в коммент пишу, чтобы другие люди время экономили и не смотрели это блеяние. >Даже если в обучающем видео рекламы написано, смотреть этого автора больше не стану. Сложно понять что ты хотел сказать этим несвязным бредом.
@vitamoore 5 ай бұрын
Ну так сделай лучше. Есть прекрасное выражение : критикуешь - предлагай 😅
Борис Трушин
Рет қаралды 253